钓鱼攻击者冒充网络安全公司Proofpoint,并试图窃取受害者的微软Office 365和谷歌电子邮件凭证。
据研究人员介绍,他们发现了一项针对一家不知名的全球通信公司的攻击活动,仅组织内就有近千名员工成为攻击目标。
他们在周四的一篇文章中解释说,电子邮件声称它包含了一个Proofpoint单击链接发送的安全文件,受害者将进入虚假链接Proofpoint网站的页面,并包含了不同电子邮件服务商的登录链接。该攻击还使用了微软和谷歌的登录页面对用户进行攻击。
电子邮件使用的诱饵是一份声称与抵押贷款支付有关的文件。"Re: Payoff Request ",这是为了更好地欺骗目标,让它认为这是一封合法的电子邮件,也增加了程序的紧迫感。
根据分析,在电子邮件标题中添加Re这个符号意味着目前正在进行对话,可能会使受害者更快地点击电子邮件。
如果用户点击电子邮件中嵌入的 "安全的" 电子邮件链接将被引导到有Proofpoint品牌钓鱼攻击欺骗页面。
研究人员解释说,点击谷歌和谷歌Office 365按钮,用户将被引导到谷歌和微软的钓鱼登录页面。这两个页面都要求受害者提供电子邮件地址和密码。
研究人员指出,由于钓鱼网站使用了许多用户在日常生活中经常使用的工作流程(即当文件通过云共享时收到电子邮件通知),攻击者希望用户不太多怀疑。
根据分析,当我们看到以前看过的电子邮件时,我们的大脑倾向于使用系统1的思维方式来思考,并尽快采取行动。
在基础设施方面,这封电子邮件是从法国南部的一个消防部门发出的。研究人员指出,这有助于钓鱼网站避免微软本地电子邮件安全过滤器的检测。换句话说,它们根本没有被标记为垃圾邮件。
此外,这些钓鱼网页托管在 "greenleafproperties[.]co[.]uk "父域名上。
该域名的WhoIs记录显示,最后一次更新是在2021年4月,URL目前,它将重新定向cvgproperties[.]co[.]uk域名上。这个非常短的网站和可疑的页面增加了网站的违法性。
这种网络攻击将利用社会工程、冒充合法品牌、使用合法基础设施绕过传统电子邮件安全过滤器,降低用户警惕性。研究人员提供以下建议,以防止此类活动。
1、注意社会工程攻击。用户应仔细检查电子邮件,包括检查发件人姓名、发件人地址、电子邮件中的语言以及电子邮件中的任何逻辑不一致(例如,为什么电子邮件来自.fr域名?为什么抵押贷款相关通知会出现在我的工作邮箱里?
2、加强密码安全。在所有可能的商业和个人账户上部署多因素认证(MFA),不要在多个网站/账户上使用相同的密码,避免使用与公共信息相关的密码(出生日期、周年纪念日等)。
本文翻译自:https://threatpost.com/proofpoint-phish-microsoft-o365-google-logins/176038/如果转载,请注明原始地址。